Сообщения

Сообщения за сентябрь, 2015

СОИБ. Выбор мер защиты. Application Security в регионах

Изображение
Не так давно компания Positive Technologies совместно с дистрибьютором АКСОФТ активно взялись за развитие направления Application Security в регионах – в том числе встречались со специалистами компании РосИнтеграция . Основная идея – продукты данного направления уже достаточно хорошо отработаны на ключевых заказчиках, вместе с тем в регионах есть потребность в защите приложений, которая ранее не могла быть удовлетворена в виду ограничений или высокой стоимости зарубежных решений (таких как Imperva ). Одно из технических решений направления – межсетевой экран уровня приложений PT Application Firewall . Про решения данного типа у меня есть несколько полезных статей в блоге . Отдельно хотелось обсудить преимущества перед конкурентами, которые выделяет вендор : ·          российский производитель, что соответствует теме импортозамещения и дает уверенность в том, что поставка не попадет под санкции и оборудование прийдет без закладок АНБ ·          сертификация в ФСТЭК на ТУ и

Общее. Знатоки блогеров, экспертов и BISA

В предыдущей статье я публиковал приглашение ответить на вопросы по экспертам BISA и персонам BIS Summit – как правило известных блогеров.  Давайте кратко рассмотрим ответы и подведем итоги. 1. Укажите фамилию спикера BIS Summit 2015, который в свое время сделал форк известного опенсорсного сканнера безопасности, зарегистрировал патент на него и публично распространял этот сканнер. По моей информации, это был Алексей Волков и сканнер ruNmap . Это очень круто иметь такой опыт - помню ещё лет 12 назад заходил на этот сайт и тестировал ruNmap , когда других сканеров кроме nmap толком не было. Другие ответы: Кришна Раджагопал, Медведовский, Браун. О патентах первого мне ничего не известно. А второй и третий отсутствуют в списке спикеров BISA (к сожалению) 2. Укажите фамилию эксперта и модератора BIS Summit 2015, который в 2008 году писал статьи на тему безопасности биллинговых систем – не совсем на ту тему, на которую мы сейчас привыкли видеть его публикации.  По моей

Общее. Розыгрыш билетов на BIS Summit 2015

18 сентября 2015 года будет проходить конференция BIS Summit 2015 , интересная участием в ней большого количество иностранных спикеров, местных экспертов, и наличием онлайн-трансляции, что большая редкость для российских мероприятий. В предыдущие годы я как раз смотрел онлайн-трансляцию с мероприятия, так как не удавалось выбраться из Краснодара. В этот раз буду на конференции очно, посмотрю на высокий уровень проведения мероприятия, о котором отзываются многие коллеги. Организаторы BIS Summit 2015 попросили разыграть несколько билетов на просмотр онлайн трансляции для читателей моего блога. В связи с чем я подготовил несколько простых и интересных, на мой взгляд, вопросов по экспертам BISA и персонам BIS Summit . Приглашаю всех ответить на вопросы по ссылке , получить удовольствие и принять участие в BIS Summit 2015. Условия конкурса : ·          Всего разыгрывается 3 промо кода – билета на онлайн трансляцию ·          Победители будут выбираться через 3 д

СОИБ. Анализ. Учить!

В предыдущей статье я отметил что в ряде свежих нормативных документов не уделяется внимания квалификации, повышению осведомленности и обучению ответственных лиц. Давайте порассуждаем логически – может ли сотрудник, ранее не сталкивавшийся с ПДн, ГИС и СЗИ и не обладающий никаким знаниями в этой теме обеспечивать работоспособность и эффективность системы защиты? Даже если все меры и система защиты создана под ключ консультантом / интегратором? Если ответственные лица не будут знать и уметь, то меры защиты перестанут или даже не начнут работать, документы уйдут в шкаф, а СЗИ мешающие работе будут убраны на полку. Если кратко то, ответственному за защиту ПДн необходимы как минимум следующие знания и навыки (даже если оператор обращается к интегратору за помощью): ·          знание области действия и основные положения нормативных правовых актов, регламентирующих вопросы обработки и обеспечения безопасности персональных данных (как правило в внутреннем комплекте ОРД отражают

СОИБ. Анализ. Учить или не учить?

Изображение
Посмотрим на недавние (недавно обновленные) нормативные документы РФ в области ИБ, такие как 152-ФЗ, 149-ФЗ, Постановление правительства №1119, Приказ ФСТЭК №21 о мерах защиты ПДн, Методические рекомендации ФСТЭК по защите ГИС, Приказ ФСБ №378 о мерах защиты ПДн  - там фактически ничего нет про квалификацию (знания и умения) лиц, ответственных за организацию обработки информации ограниченного доступа (ПДн) или за защиту информации, про проверку и повышение квалификации этих лиц, про необходимость повышения осведомленности и обучения в области информационной безопасности. Если в приведенных НМД что-то требуется в этой части – это поставить роспись об ознакомлении с комплектом документов. Так можно дворника назначить ответственным за организацию обработки ПДн, вахтера на входе ответственным за защиту информации, вручить им ОРД и не выпускать, пока не поставят 20 подписей. Разве этого достаточно? Регуляторы считают, что достаточно! При проверках – смотрят только приказы, и